Microsoft: raději ochráníme i piráty

U příležitosti konference IDC Security Roadshow jsme měli možnost hovořit se Stephenem McGibbonem, který má ve společnosti Microsoft na starost technologie a bezpečnost počítačových systémů pro oblast východní Evropy.
Microsoft: raději ochráníme i piráty

V úterý 24. 2. 2004 proběhla v prostorách České národní banky česká část série konferencí IDC Security Roadshow, které jsou určeny vedoucím pracovníkům ve velkých podnicích. Hlavním smyslem IDC Security Roadshow je informovat o rizicích spojených s internetem. Mezi řečníky byli viceprezident IDC pro výzkum evropských služeb Martin Canning, šéf českého Symantecu Radek Smolík, člen Evropské komise v odboru pro Informační společnost Richard Sonnenschein a v neposlední řadě také Chief Technology Officer společnosti Microsoft pro východní Evropu Stephen McGibbon. Právě s posledně jmenovaným jsme měli možnost více než půl hodiny hovořit o pojetí počítačové bezpečnosti ve společnosti Microsoft.

Nejznámějším pojmem ve spojení se slovem bezpečnost je u Microsoftu Trustworthy Computing. Co všechno tento program zahrnuje?

Klepněte pro větší obrázekZákladem iniciativy Trustworthy Computing je komplexní změna přístupu k bezpečnostním problémům. Dříve platilo pravidlo, že co není zakázáno, je dovoleno. V tuto chvíli je náš postoj obrácený. Vše, co není explicitně povoleno, je v Trustworthy Computing zakázáno. Od doby Windows 95 se změnil druh nebezpečí, které ohrožuje osobní počítače.

V době Windows 95 byl nejčastějším způsobem infikování počítače vir uložený na disketě schovaný v nějakém kopírovaném dokumentu či aplikaci. Uživatelé Windows 95 z větší části ani nepoužívali protokol TCP/IP, většina síťových přístupů byla přes protokol IPX. I dnes je možné nakazit počítač virem spuštěním nějakého kódu, který by neměl být spouštěn, ale změnil se způsob šíření – nyní se takové aplikace rozšiřují především pomocí e-mailu.

Řada chyb, které jsou dnes ještě odhalovány ve starších verzích Windows, jsou způsobeny právě tím, že tento software nebyl navržen, aby čelil útokům přes internet. Microsoft už dříve zahájil rekompilaci starších verzí Windows s ochranou proti nejčastějším útokům typu buffer overrun. Navíc jsme vyškolili každého vývojáře, který pracuje pro Microsoft, v "defenzivním programování", takže si uvědomují tento nový model hrozby z internetu a pracují s ním.

Iniciativa Trustworthy Computing je stará dva roky, ale firewall ve Windows XP automaticky aktivován nebyl.

To máte pravdu. Microsoft změnil toto nastavení až v nových buildech Windows, které šly do obchodů po problému s virem MyDoom. V tuto chvíli je Windows firewall na nových počítačích aktivní.

A co Trustworthy Computing a hardwarová bezpečnostní řešení, která byla už několikrát naznačována?

Pro Longhorn chystáme řadu nových bezpečnostních prvků včetně hardwarových prostředků ochrany. Longhorn bude například podporovat hardwarové oddělení uživatelských procesů a jádra systému. Stejně tak pro Longhorn plánujeme HW ochranu proti útokům typu buffer overrun.

Máte nějaké bližší informace o nové verzi této aplikace připravované pro SP2?

Tou hlavní změnou je opět automatická aktivace tohoto software při instalaci. Každý uživatel, který aplikuje SP2, bude mít nainstalován aktivní firewall. Pro firemní uživatele je hlavní změnou možnost centrálně nastavovat firewall v rámci určitých politik pro různé typy uživatelů. Pro domácí uživatele bude Windows firewall obsahovat srozumitelnější rozhraní a rozšířené možnosti statistických výstupů.

"Důvěryhodnosti" systémů společnosti Microsoft nenapomohla zpráva společnosti eEye, která upozornila na dlouhou prodlevu mezi odhalením bezpečnostních děr v IE a jejich odstranění. V čem je problém?

Tady je potřeba upozornit na dvě věci. První z nich je něco, čemu Microsoft říká "Responsible Disclosure" – zodpovědné odhalení. Podle tohoto konceptu, který Microsoft prosazuje, jsou detaily o odhalené slabině zveřejněny až po té, co existuje záplata. Platí to i v případě eEye. Tento přístup zajišťuje, že i když je chyba známa objeviteli a Microsoftu, uživatelé nejsou zásadně ohroženi.

Zneužívání nedokonalosti počítačových systémů už není zábavou pro hackery, ale doménou organizovaného zločinu. Podle statistik, které sledujeme, jsou uživatelé v bezpečí před nově objevenou chybou do chvíle, než se objeví patch. Dnes už jsou k dispozici nástroje, které vezmou záplatu, rozeberou ji a odhalí tak slabinu, kterou opravuje. Vyvinutí útoku, který tuto slabinu využívá, je pak otázka velice krátké doby. Takže důležité není, jak dlouho trvá vývoj záplaty, její ověření a úpravy, ale doba, kterou trvá, než si tuto záplatu nainstalují běžní uživatelé.

Druhá věc je zodpovědnost Microsoftu vůči zákazníkům v oblasti kvality. Kdybych vám šest hodin po odhalení chyby zavolal s tím, že mám hotovou záplatu, asi byste mi moc nevěřil. Microsoft při opravě bezpečnostní chyby neopravuje jen očividnou chybu, ale musí zajistit, aby po instalaci záplaty nepřestalo fungovat něco, co před tím běželo.

Teď si trochu protiřečíte, právě tento problém nastal v případě nedávné opravy zadávání adres do Internet Exploreru...

Tady nešlo o žádné překvapení nebo chybu v původní záplatě. Museli jsme se rozhodnout a v tomto případě jsme na sebe vzali tu zodpovědnost, a tu díru rychle zavřeli, i když jsme věděli, že to v některých případech může způsobit problémy. Spolu se záplatou jsme vývojářům uvolnili informaci o těchto komplikacích. Hlavním problémem ale skutečně není, jak rychle Microsoft vydá záplatu, ale jak rychle si ji uživatelé nainstalují.

Instalace záplat je problém hlavně u domácích uživatelů, ne všichni mají legální systém a tudíž si nemohou nainstalovat třeba Service Pack 1 pro Windows XP. Nechráněné počítače přitom ohrožují platící zákazníky, plánuje Microsoft nějaké kroky v tomto směru?

Máte pravdu, softwarové pirátství je celosvětový problém. Ale třeba v případě červa MyDoom jsme poskytli bezplatné nástroje pro jeho odstranění každému, nezkoumali jsme při tom platnost licence. Microsoft má určitou společenskou zodpovědnost, takže nemůžeme nechat poměrně značné množství strojů nechráněných. I proto nabízíme CD se záplatami v prodejnách s výpočetní technikou, kde nikdo nekontroluje číslo vaší licence. Uživatelům nyní nově nabízíme také možnost objednat si CD s opravami a návody, jak chránit počítač, které je možné získat objednávkou z webu.

Bohužel, toto bezpečnostní CD není v češtině zatím dostupné...

Existuje určité zpoždění u lokalizovaných verzí, česká verze by měla být dostupná od třetího března.

To je určitě dobrá zpráva, ale distribuce CD stále trvá poměrně dlouho ve srovnání s elektronickou distribucí. Ta je ale spojena s problémy zejména při pomalém připojení k internetu, což uživatele stále dost obtěžuje.

Problémy spojené s distribucí bezpečnostních záplat a jejich instalací si uvědomujeme a pracujeme na jejich řešení. V tuto chvíli se například snažíme omezit počet záplat, které vyžadují restart počítače. Daří se nám také zmenšovat velikost těchto souborů až o 80 %. Pro Longhorn vyvíjíme další technologie, které usnadní distribuci dat pomocí internetu, ať už půjde o záplaty nebo nové verze programů či uživatelská data.

Diskuze (95) Další článek: Zákeřná hrozba: červ skrývající se za odkazem v ICQ

Témata článku: Microsoft, Bezpečnost, Overrun, Platící uživatel, Určitá doba, Automatická aktivace, Pirát, Síťový přístup, Bezpečnostní díra, Nový způsob, Záplata


Určitě si přečtěte

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 24

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

** Koronavrus můžete sledovat skoro živě ** Analytici a kartografové připravili hromadu map ** Vybrali jsme deset z nich

Jakub Čížek | 8

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 29

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 46



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor